Шаблоны "алертов"

Общие данные

При настройке правила корреляции вы можете использовать заранее подготовленные шаблоны "алертов", в которых можно настроить следующее поведение при сработке правила:

присвоение уровня риска;
автоматическое создание инцидента;
автоматическое назначение инцидента пользователю.

Для работы с шаблонами "алертов" перейдите в раздел Коррелятор → Шаблоны алертов и выберите шаблон из списка (см. рисунок 1).

Рисунок 1 – Раздел "Шаблоны алертов"

В разделе отображается следующая информация:

Название – наименование шаблона "алерта";
Уровень риска – цифровое обозначение уровня угрозы, которое будет присвоено инциденту в результате "сработки" правила;
FQDN – поле события, которое будет определяться как FQDN актива;
Hostname – поле события, которое будет определяться как Hostname актива;
IP – поле события, которое будет определяться как IP-адрес актива;
MAC – поле события, которое будет определяться как MAC-адрес актива;
Обновлено – дата и время изменения информации о шаблоне;
Создано – дата и время создания шаблона.

Просмотр шаблона "алерта"

Для просмотра шаблона нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название. Откроется представление через боковую панель и форма просмотра выбранного шаблона (см. рисунок 2).

Рисунок 2 – Форма просмотра шаблона алерта

В боковой панели отображается следующая информация о шаблонах:

наименование шаблона;
дата и время последнего изменения шаблона.

В рабочей области отображается структура данных и внешний вид шаблона.

Создание шаблона "алерта"

Начните процесс создания шаблона через универсальную таблицу или боковую панель. Откроется окно "Создать шаблон" (см. рисунок 3).

Рисунок 3 – Окно "Создать шаблон"
Укажите в окне следующую информацию:
- в поле Название шаблона укажите название шаблона "алерта";
- в поле Уровень риска выберите цифровое обозначение уровня риска, которое будет присвоено "сработке" правила;
- установите флаг Создать инцидент если необходимо автоматически создавать инцидент на основании "сработки" правила;
- установите флаг Назначить инцидент пользователю если необходимо автоматически назначать инцидент пользователю;
- выберите количество событий, которые необходимо записывать в журнал:
  - если вы хотите записывать только первое и последнее событие, то установите соответствующий флаг;
  - в обратном случае укажите необходимое значение в поле Логировать указанное число событий.
- в поле IP актива из выпадающего списка выберите поле, которое будет выступать в качестве IP-адреса актива. Поле может являться частью сводной таблицы событий;
- в поле FQDN актива из выпадающего списка выберите поле, которое будет выступать в качестве наименования домена актива. Поле может являться частью сводной таблицы событий;
- в поле Hostname актива из выпадающего списка выберите поле, которое будет выступать в качестве наименования хоста актива. Поле может являться частью сводной таблицы событий;
- в поле MAC актива из выпадающего списка выберите поле, которое будет выступать в качестве MAC-адреса актива. Поле может являться частью сводной таблицы событий;
- в поле Техники Mitre - укажите через запятую идентификаторы техник, используемых киберпреступниками, которые описаны в базе знаний компании Mitre (подробнее см. Techniques - Enterprise | MITRE ATT&CK®);
- в поле Шаблон укажите дополнительную информацию об "алерте".
Нажмите кнопку Создать.

Редактирование шаблона "алерта"

Начните процесс редактирования шаблона через универсальную таблицу или форму просмотра.
Внесите необходимые изменения.
Нажмите кнопку Сохранить.

Дублирование шаблона "алерта"

Откройте шаблон на просмотр и нажмите кнопку Дублировать. Откроется окно "Дублировать шаблон алерта" (см. рисунок 4).

Рисунок 4 – Окно "Дублировать шаблон алерта"
Укажите в окне наименование шаблона.
Нажмите кнопку Дублировать.

Удаление шаблона "алерта"

Начините процесс удаления шаблона через универсальную таблицу или боковую панель.
Подтвердите удаление в открывшемся окне.
Шаблон алерта будет удален из платформы.